Řešení potíží s připojením služby identit úloh Azure Resource Manageru
Získejte pomoc s laděním běžných problémů s připojením služby identit úloh. Dozvíte se také, jak ručně vytvořit připojení služby, pokud potřebujete.
Kontrolní seznam pro řešení potíží
Při řešení potíží s připojením služby identit úloh použijte následující kontrolní seznam:
- Zkontrolujte úlohy kanálu a ujistěte se, že podporují identitu úloh.
- Ověřte, že je pro tenanta aktivní federace identit úloh.
- Zkontrolujte přesnost adresy URL vystavitele a předmět federace.
Následující části popisují problémy a jejich řešení.
Kontrola úloh kanálu
Ne všechny úlohy kanálů podporují identitu úloh. Konkrétně vlastnosti připojení služby Azure Resource Manager pro úlohy používají federaci identit úloh. Následující tabulka uvádí podporu federace identit úloh pro úlohy zahrnuté v Azure DevOps. Pokud potřebujete úlohy nainstalované z Marketplace, obraťte se na vydavatele rozšíření a požádejte ho o podporu.
| Úloha | Podpora federace identit úloh |
|---|---|
| AutomatedAnalysis@0 | Y |
| AzureAppServiceManage@0 | Y |
| AzureAppServiceSettings@1 | Y |
| AzureCLI@1 | Y |
| AzureCLI@2 | Y |
| AzureCloudPowerShellDeployment@1 | Použití AzureCloudPowerShellDeployment@2 |
| AzureCloudPowerShellDeployment@2 | Y |
| AzureContainerApps@0 | Y |
| AzureContainerApps@1 | Y |
| AzureFileCopy@1 | Použití AzureFileCopy@6 |
| AzureFileCopy@2 | Použití AzureFileCopy@6 |
| AzureFileCopy@3 | Použití AzureFileCopy@6 |
| AzureFileCopy@4 | Použití AzureFileCopy@6 |
| AzureFileCopy@5 | Použití AzureFileCopy@6 |
| AzureFileCopy@6 | Y |
| AzureFunctionApp@1 | Y |
| AzureFunctionApp@2 | Y |
| AzureFunctionAppContainer@1 | Y |
| AzureFunctionOnKubernetes@0 | Použití AzureFunctionOnKubernetes@1 |
| AzureFunctionOnKubernetes@1 | Y |
| AzureIoTEdge@2 | Y |
| AzureKeyVault@1 | Y |
| AzureKeyVault@2 | Y |
| AzureMonitor@0 | Použití AzureMonitor@1 |
| AzureMonitor@1 | Y |
| AzureMysqlDeployment@1 | Y |
| AzureNLBManagement@1 | N |
| AzurePolicyCheckGate@0 | Y |
| AzurePowerShell@2 | Y |
| AzurePowerShell@3 | Y |
| AzurePowerShell@4 | Y |
| AzurePowerShell@5 | Y |
| AzureResourceGroupDeployment@2 | Y |
| AzureResourceManagerTemplateDeployment@3 | Y |
| AzureRmWebAppDeployment@3 | Y |
| AzureRmWebAppDeployment@4 | Y |
| AzureSpringCloud@0 | Y |
| AzureVmssDeployment@0 | Y |
| AzureWebApp@1 | Y |
| AzureWebAppContainer@1 | Y |
| ContainerBuild@0 | Y |
| ContainerStructureTest@0 | Y |
| Docker@0 | Y |
| Docker@1 | Připojení služby Azure: Y Připojení ke službě Registru Dockeru: N |
| Docker@2 | Y |
| DockerCompose@0 | Y |
| DockerCompose@1 | Y |
| DotNetCoreCLI@2 | Y |
| HelmDeploy@0 | Připojení služby Azure: Y |
| HelmDeploy@1 | Připojení služby Azure: Y |
| InvokeRESTAPI@1 | Y |
| JavaToolInstaller@0 | Y |
| JenkinsDownloadArtifacts@1 | Y |
| Kubernetes@0 | Použití Kubernetes@1 |
| Kubernetes@1 | Y |
| KubernetesManifest@0 | Použití KubernetesManifest@1 |
| KubernetesManifest@1 | Y |
| Maven@4 | Y |
| Notation@0 | Y |
| PackerBuild@0 | Použití PackerBuild@1 |
| PackerBuild@1 | Y |
| PublishToAzureServiceBus@1 | Použití PublishToAzureServiceBus@2 s připojením ke službě Azure |
| PublishToAzureServiceBus@2 | Y |
| ServiceFabricComposeDeploy@0 | N |
| ServiceFabricDeploy@1 | N |
| SqlAzureDacpacDeployment@1 | Y |
| VSTest@3 | Y |
Ověření aktivní federace identit úloh
Pokud se zobrazí chybové zprávy AADSTS700223 nebo AADSTS700238, federace identit úloh byla ve vašem tenantovi Microsoft Entra zakázaná.
Ověřte, že neexistují žádné zásady Microsoft Entra, které blokují federované přihlašovací údaje.
Zkontrolujte přesnost adresy URL vystavitele.
Pokud se zobrazí zpráva, která značí , že se nenašl žádný odpovídající záznam federované identity, adresa URL vystavitele nebo předmět federace se neshoduje. Správná adresa URL vystavitele začíná řetězcem https://vstoken.dev.azure.com.
Adresu URL vystavitele můžete opravit úpravou a uložením připojení služby, čímž se aktualizuje adresa URL vystavitele. Pokud služba Azure DevOps identitu nevytvořila, adresa URL vystavitele se musí aktualizovat ručně. U identit Azure se adresa URL vystavitele aktualizuje automaticky.
Běžné problémy
Následující části identifikují běžné problémy a popisují příčiny a jejich řešení.
Nemám oprávnění k vytvoření instančního objektu v tenantovi Microsoft Entra
Pokud nemáte správná oprávnění, nemůžete použít nástroj pro konfiguraci připojení ke službě Azure DevOps. Úroveň oprávnění není dostatečná k použití tohoto nástroje, pokud nemáte oprávnění k vytváření instančních objektů nebo pokud používáte jiného tenanta Microsoft Entra než uživatel Azure DevOps.
Abyste mohli vytvářet registrace aplikací, musíte mít buď oprávnění v Microsoft Entra ID, nebo mít odpovídající roli (například Vývojář aplikací).
Tento problém můžete vyřešit dvěma způsoby:
- Řešení 1: Ruční konfigurace identity úloh pomocí ověřování spravované identity
- Řešení 2: Ruční konfigurace identity úloh pomocí ověřování registrace aplikací
Chybové zprávy
Následující tabulka uvádí běžné chybové zprávy a problémy, které by je mohly generovat:
| Zpráva | Možný problém |
|---|---|
Nejde požádat o token: Získat ?audience=api://AzureADTokenExchange: unsupported protocol scheme |
Úloha nepodporuje federaci identit úloh. |
| Identita nebyla nalezena. | Úloha nepodporuje federaci identit úloh. |
| Nepodařilo se načíst přístupový token pro Azure. | Úloha nepodporuje federaci identit úloh. |
| AADSTS700016: Aplikace s identifikátorem **** nebyla nalezena. | Identita použitá pro připojení služby již neexistuje, pravděpodobně byla odebrána z připojení služby nebo je nesprávně nakonfigurovaná. Pokud připojení služby konfigurujete ručně s předem vytvořenou identitou, ujistěte se, že appID/clientId je správně nakonfigurovaná. |
| AADSTS7000215: Byl poskytnut neplatný tajný klíč klienta. | Používáte připojení služby s tajným kódem, jehož platnost vypršela. Převeďte připojení služby na federaci identit úloh a nahraďte tajný kód s vypršenou platností federovanými přihlašovacími údaji. |
| AADSTS700024: Kontrolní výraz klienta není v platném časovém rozsahu. | Pokud k chybě dojde přibližně po 1 hodině, použijte místo toho připojení služby k federaci identit úloh a spravované identitě . Tokeny spravované identity mají životnost přibližně 24 hodin. Pokud k chybě dojde před 1 hodinou, ale po 10 minutách, přesuňte příkazy, které (implicitně) požadují přístupový token, například přístup ke službě Azure Storage na začátek skriptu. Přístupový token se uloží do mezipaměti pro další příkazy. |
AADSTS70021: Pro prezentované kontrolní výrazy nebyl nalezen žádný odpovídající záznam federované identity. Vystavitel kontrolního výrazu: https://app.vstoken.visualstudio.com. |
Nebyly vytvořeny žádné federované přihlašovací údaje nebo adresa URL vystavitele není správná. Správná adresa URL vystavitele má formát https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Adresu URL vystavitele můžete opravit úpravou a uložením připojení služby. Pokud Azure DevOps vaši identitu nevytvořil, musíte vystavitele aktualizovat ručně. Správný vystavitel najdete v dialogovém okně pro úpravy připojení služby nebo v odpovědi (v rámci parametrů autorizace), pokud používáte rozhraní REST API. |
AADSTS70021: Pro prezentované kontrolní výrazy nebyl nalezen žádný odpovídající záznam federované identity. Vystavitel kontrolního výrazu: https://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX. Předmět kontrolního výrazu: sc://<org>/<project>/<service-connection>. |
Adresa URL vystavitele nebo předmět federace se neshoduje. Organizace nebo projekt Azure DevOps se přejmenovala nebo bylo přejmenováno ručně vytvořené připojení služby bez aktualizace předmětu federace na identitu. |
| AADSTS700211: Pro prezentovaného vystavitele kontrolního výrazu se nenašl žádný odpovídající záznam federované identity | Nebyly vytvořeny žádné federované přihlašovací údaje nebo adresa URL vystavitele není správná. |
| AADSTS700213: Pro prezentovaný subjekt kontrolního výrazu nebyl nalezen odpovídající záznam federované identity. | Nebyly vytvořeny žádné federované přihlašovací údaje nebo subjekt není správný. |
| AADSTS700223 | Federace identit úloh je v tenantovi Microsoft Entra omezená nebo zakázaná. V tomto scénáři může být možné použít spravovanou identitu pro federaci. Další informace se nachází v tématu Identita úlohy se spravovanou identitou. |
| AADSTS70025: Klientská aplikace nemá nakonfigurované přihlašovací údaje federované identity | Ujistěte se, že jsou federované přihlašovací údaje nakonfigurované pro registraci aplikace nebo spravovanou identitu. |
| Microsoft Entra odmítl token vydaný Službou Azure DevOps s kódem chyby AADSTS700238 | Federace identit úloh je omezená na tenanta Microsoft Entra. Vystavitel vaší organizacehttps://vstoken.dev.azure.com/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX () nemůže používat federaci identit úloh. Požádejte svého správce tenanta Microsoft Entra nebo tým pro správu, aby povolil federaci identit úloh pro vaši organizaci Azure DevOps. |
| AADSTS900382: Důvěrný klient není v multicloudu podporován. | Některé suverénní cloudy blokují federaci identit úloh. |
| Získání webového tokenu JSON (JWT) pomocí ID klienta instančního objektu se nezdařilo. | Vaše přihlašovací údaje federační identity jsou chybně nakonfigurované nebo tenant Microsoft Entra blokuje OpenID Connect (OIDC). |
| Skript selhal s chybou: UnrecognizedArgumentError: Unrecognized Arguments: --federated-token | Úlohu AzureCLI používáte u agenta, který má nainstalovanou starší verzi Azure CLI. Federace identit úloh vyžaduje Azure CLI 2.30 nebo novější. |
| Vytvoření aplikace v Microsoft Entra ID se nezdařilo. Chyba: Nedostatečná oprávnění k dokončení operace v Microsoft Graphu Ujistěte se, že má uživatel oprávnění k vytvoření aplikace Microsoft Entra. | Možnost vytvářet registrace aplikací byla v tenantovi Microsoft Entra zakázaná . Přiřaďte uživateli, který vytváří připojení služby, roli Microsoft Entra vývojáře aplikací. Případně můžete připojení služby vytvořit ručně pomocí spravované identity. Další informace se nachází v tématu Identita úlohy se spravovanou identitou. |
Zobrazuje se vám chyba AADSTS, která není uvedená výše? Zkontrolujte kódy chyb ověřování a autorizace Microsoft Entra.